据《连线》网站报道，研究人员发现，数以百万计的 Android 设备出货之时便存在固件漏洞，容易受到攻击，用户可以说防不胜防。智能手机因安全问题而崩溃往往是自己造成的：你点击了错误的链接，或者安装了有问题的应用。但对于数以百万计的 Android 设备来说，这些漏洞早就潜藏于固件当中，被利用只是迟早的问题。这是谁造成的呢？在某种程度上，制造设备的制造商和销售设备的运营商都有责任。 这是移动安全公司 Kryptowire 的最新研究分析得出的主要结论。Kryptowire 详细列出了在美国主流运营商销售的 10 款设备中预装的漏洞。Kryptowire 首席执行官安杰罗斯·斯塔夫鲁（Angelos Stavrou）和研究总监莱恩·约翰逊（Ryan Johnson）将在周五的 Black Hat 安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。 这些漏洞的潜在后果可大可小，比如锁住设备让机主无法使用，秘密访问设备的麦克风和其他的功能。       “这个问题不会消失。”—— Kryptowire首席执行官安杰罗斯·斯塔夫鲁 Android 操作系统允许第三方公司根据自己的喜好改动代码和进行定制，而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题；它让厂商能够寻求差异化，给人们带来更多的选择。谷歌将在今年秋天正式推出 Android 9 Pie ，但最终该新系统将会有各种各样的版本。 不过，那些代码改动会带来一些令人头痛的问题，其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的，它们还可能会导致固件漏洞，将用户置于危险当中。 “这个问题不会消失，因为供应链中的许多人都希望能够添加自己的应用程序，自定义定制，以及添加自己的代码。这增加了可被攻击的范围，增加了软件出错的可能性。”斯塔夫鲁指出，“他们让终端用户暴露于终端用户无法应对的漏洞当中。” Kryptowire 在 Black Hat 上的讲话聚焦于来自华硕、LG、Essential 和中兴通讯的设备。 Kryptowire 的研究关注的并不是制造商的意图，而是整个 Android 生态系统的参与者共同造成的广泛存在的代码低劣问题。 以华硕 ZenFone V Live 为例，Kryptowire 发现，该款手机的整个系统都被接管控制，包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。 “华硕意识到最近 ZenFone 的安全问题，正努力通过软件更新来加快解决问题，软件更新将无线推送给 ZenFone 用户。”华硕在一份声明中表示，“华硕致力于保障用户的安全和隐私，我们强烈建议所有的用户更新到最新的 ZenFone 软件，以确保获得安全的用户体验。” 现阶段，要解决自己造成的烂摊子，推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上，用户可能也不会去安装更新。”他说道。他还指出，在 Kryptowire 测试的一些机型上，更新过程本身就被中断了。这一发现也得到了德国安全公司 Security Research Labs 最近的一项研究的支持。 Kryptowire 所详述的攻击基本上都需要用户去安装应用。然而，虽然正常来说可以通过一个不错的方法来规避潜在的攻击，即坚持使用谷歌官方应用商店 Google Play 来下载应用，但斯塔夫鲁指出，让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说，应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件，它可以轻而易举地、悄无声息地获取你的短信和通话记录。 攻击最终可能会导致各种各样的后果，具体要看你使用的是什么设备。就中兴 Blade Spark 和 Blade Vantage 而言，固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录（收集各种系统消息，可能包括电子邮件地址、GPS 坐标等敏感信息）。在 LG G6（Kryptowire的研究报告中最流行的一款机型）上，漏洞可能会暴露日志记录，或者被用来锁定设备让机主无法访问。攻击者还可能会重置 Essential Phone 手机，清除它的数据和缓存。 “在我们意识到这个漏洞以后，我们的团队立即进行了修复。” Essential 公关主管莎丽·多尔蒂（Shari Doherty）说道。          你完全无法自己去解决问题，也无法早早发现问题的存在。 LG 似乎已经解决了一些潜在的问题，但还没有完全解决。“ LG 此前了解到了这些漏洞，并已经发布了安全更新来解决这些问题。事实上，报告提到的漏洞大多数都已经被修补，或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。 至于中兴通讯，该公司在一份声明中表示，它“已经推送安全更新，今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作，未来持续提供维护更新，继续保护消费者的设备。” AT&T 的一位发言人证实，该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon 和 Sprint 没有回复记者的置评请求。 这一连串的声明显示出了进展，但也凸显了一个关键的问题。斯塔夫鲁说，这些更新可能需要几个月的时间来创建和测试，需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中，你完全无法自己去解决问题，也无法早早发现问题的存在。 “有一点是可以确定的，那就是没有人保障消费者的安全。”斯塔夫鲁指出，“该漏洞问题在系统中根深蒂固，消费者可能无法判断它是否存在。即使他们意识到它的存在，他们也毫无办法，只能等待制造商、运营商或任何更新固件的人来提供帮助。” 与此同时，这一发现只是 Kryptowire 最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应，它还没有公开全部的发现。) “我们要感谢 Kryptowire 的安全研究人员为加强 Android 生态系统的安全性所做的努力。他们所概述的问题并不影响 Android 操作系统本身，但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。 第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里，那些令人头痛的潜藏隐患就还会存在。     稿源：网易科技，封面源自网络；

苹果的设备一直被认为相当具有安全性，但是它可能并非完全如此。虽然 Windows 可能容易受到攻击，但 macOS 好像也不那么安全，例如一台全新的 MacBook 就城门大开，很容易被黑客入侵。本周在拉斯维加斯举行的黑帽安全会议上有安全专家展示了该威胁。 问题出现在针对使用 Apple 的设备注册计划及其移动设备管理平台的 MacBook 上。设计这种功能的想法主要是为了方便企业当中的设备管理：将 MacBook 直接发送给员工，以便他们可以在办公室或家中设置设备。 Fleetsmith 的首席安全官 Jesse Endahl 和 Dropbox 的工程师 MaxBélanger 发现了这些设置工具中的一个错误，可以利用它来获得罕见的远程 Mac 访问。 我们发现了一个错误，允许我们在用户第一次登录之前破坏设备并安装恶意软件。当他们登录时，当他们看到桌面时，计算机已经受到损害。 – 杰西恩塔尔 研究人员已经向苹果通报了这个漏洞，并且该公司上个月已经发布了 macOS High Sierra 10.13.6 的修复程序。但是，上个月之前制造的设备仍然容易受到攻击，组织需要更新操作系统以确保漏洞。 苹果没有评论该公司推出的错误或修复程序。   稿源：cnBeta.COM，封面源自网络；

（原标题：Warning over satellite security bugs） 网易科技讯 8 月 10 日消息，据国外媒体报道，一名安全研究人员警告称，飞机、舰船和军方使用的卫星系统中均含有可能让黑客控制它们的安全漏洞。 最严重的漏洞可能会让攻击者向卫星天线过度充电，从而损害设备或损害运营商利益。研究人员表示，其他漏洞可能会被用来泄露军事力量在特定地区的确切位置。 发现了这些漏洞的 IOActive 公司表示，其正在与制造商合作，以加强设备抵御攻击的能力。 “这些漏洞的后果令人震惊，” IOActive 公司的鲁本桑塔玛塔 (Ruben Santamarta) 在一份声明中指出。有关漏洞的相关细节将于当地时间周四晚些时候在拉斯维加斯举行的黑帽安全会议上公布。 桑塔玛塔表示，商用飞机上使用的是最容易受到攻击的设备。 他说，影响飞机的一些安全漏洞需要攻击者自己身处那架飞机上，但他也发现了“数百个”可以通过互联网远程访问的脆弱设备。 然而，其中没有一个漏洞能让攻击者访问用于控制飞行的航空电子系统。 桑塔玛塔同时表示，在船上和美国军事基地的卫星地面站中也发现了其他安全漏洞。 他说，在船舶系统上，攻击者极有可能会获得对卫星接收器的控制，从而能够进行窃听或通过提高天线的功率输出来破坏天线。 桑塔玛塔表示，自己通过控制代码中的后门获得了卫星通信系统的使用权。 其明确指出，这种后门并非恶意插入，但可能是在软件开发过程中添加的。 IOActive 表示，它推迟了公布调查结果的细节，而制造商则采取行动来消除这些漏洞。 据悉，早在 2014 年桑塔玛塔开始进行相关研究，当时发现了卫星通信系统和设备中的潜在问题。     稿源： 网易科技，封面源自网络；

本周在拉斯维加斯举行的 Black Hat 会议上，来自 Kzen Networks 的安全研究人员 Amichai Shulman 和 Tal Be’ery 透露：可利用 Cortana 漏洞绕过 Windows 10 系统的安全保护。值得注意的是，该漏洞已经于今年 6 月份进行了修复。 访问: 微软中国官方商城 – 首页       完整幻灯片地址 访问这里 研究人员表示：“允许同已经锁定的设备进行交互是非常危险的架构决策，而且早些时候我们曝光了 Cortana 的 Voice of Esau (VoE) 漏洞。VoE 漏洞允许攻击者通过整合语音命令和网络欺诈来接管已经锁定的 Windows 10 设备，并向受害设备发送恶意负载”。 “在本次演示中，我们将展示发现的 ‘Open Sesame’ 漏洞，这是危险程度很高的 Cortana 漏洞，能够允许攻击者接管锁屏的设备，并执行任意代码。利用 ‘Open Sesame’ 漏洞攻击可以查看敏感文件（文本和媒体）、浏览任意网站，从网络下载和执行任意可执行文件，并且在某些情况下可以获得最高级别权限。而且更为糟糕的是，该漏洞并不涉及任何外部代码、也不涉及系统调用，因此防病毒和反恶意软件以及 IPS 不会检测到这样的攻击。”     稿源：cnBeta.COM，封面源自网络；

卡内基梅隆大学的 CERT/CC 发出警告，称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞，该漏洞可使攻击者通过极小流量对系统发动 DoS （Denial-of-Service，拒绝服务）攻击。 该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的，目前已经被编号为 CVE-2018-5390，并且被 Red Hat 称为“SegmentSmack”。 CERT/CC 指出，由于漏洞，新版本 Linux 内核可能被迫对每个传入的数据包进行非常消耗资源的 tcp_collapse_ofo_queue（）和 tcp_prune_ofo_queue（）调用，这会导致受影响的系统上 CPU 变得饱和，从而产生 DoS 条件。 远程攻击者可以以相对较小的传入网络流量带宽通过在正在进行的 TCP 会话中发送特别修改的数据包来导致 DoS。“在最糟糕的情况下，攻击者可以仅使用小于 2kpps （每秒 2000 个数据包）的攻击流量让被害主机瘫痪”，Red Hat 解释到：“四个流的攻击结果可能看起来像是四核 CPU 完全饱和，并且网络数据包处理被延迟。” CERT/CC 列出了许多可能受到影响的网络设备供应商、PC 和服务器制造商、移动供应商和操作系统制造商（具体列表），鉴于 Linux 的广泛使用，该漏洞的影响范围很大，包括从亚马逊和 Apple 到 Ubuntu 和 ZyXEL 的每个供应商。目前已确认受影响的 Red Hat 系统包括 RHEL 6 和 7、RHEL 7 for Real Time、RHEL 7 for ARM64、RHEL 7 for IBM POWER 和 RHEL Atomic Host。 Red Hat 表示，对于管理员来说，除了等待内核修复，目前还没有有效的解决方法或缓解措施。   稿源：开源中国，封面源自网络；

本周在拉斯维加斯召开的Black Hat峰会上，国土安全部官员Vincent Sritapan向新闻机构Fifth Domain透露：当前智能手机中存在安全漏洞。报道称该漏洞涉及美国四大通信运营商（Verizon，AT＆T，T-Mobile和Sprint），数百万美国智能手机用户受到影响。 具体表现在黑客可以通过这些漏洞可以在用户不知情的情况下访问用户的电子邮件、短信等等。 Kryptowire是一家由美国国土安全部投资的移动安全公司，公司近期研究发现了这些漏洞。 Kryptowire创始人Angelos Stavrou在接受Fifth Domain采访时候表示：“可以在用户不知情的情况下对个人发起攻击。早在今年2月份就已经向设备厂商发送了通知，不过依然有部分制造商没有公开补丁进程，因此开发人员不确认设备制造商是否已经修复。”   稿源：cnBeta，封面源自网络；

GitHub 宣布了 Python 安全警告，使 Python 用户可以访问依赖图，并在他们的库所依赖的包存在安全漏洞时收到警告。 安全警告首次发布是在 2017 年 10 月，为了跟踪 Ruby 和 JavaScript 程序包中的安全漏洞。据 GitHub 介绍，从那时起，数以百万计的漏洞被发现，推动了许多补丁的发布。 GitHub 会根据 MITRE 的公共漏洞列表（CVE）来跟踪 Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表；每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。 当 GitHub 收到新发布的漏洞通知，它就会扫描公共库（已经选择加入的私有库也会被扫描）。当发现漏洞时，就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下，用户每周都会收到一封邮件，其中包含多达 10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或 GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。 在某些情况下，对于发现的每个漏洞，GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接，如果有的话，它还会提供 CVE 记录的链接和修复建议。通用漏洞评分系统（CVSS）定义了四种可能的等级，分别是低、中、高和严重。 据 GitHub 介绍，开始的时候，安全警告只会涵盖最新的漏洞，并在接下来的数周内添加更多 Python 历史漏洞。此外，GitHub 永远不会公开披露任何库中发现的漏洞。 依赖图列出了项目的所有依赖，用户可以从中看出安全警告影响的项目。要查看依赖图，在项目中点击 Insights，然后点击 Dependency graph。 要在 Python 项目中使用依赖图，需要在 requirements.txt 或 pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在 requirements.txt 文件中定义依赖。 要了解更多信息，请查看 GitHub文档。   稿源：开源中国社区，封面源自网络；

讯 北京时间 8 月 2 日上午消息，美国国会正向总统唐纳德·特朗普提出一项立法，即要求科技公司披露其是否允许其它国家检查出售给美国军方的软件内部运作情况。 该立法为五角大楼支出法案的一部分。去年路透社一名调查人员发现软件制造商允许俄罗斯国防机构寻找一些美国政府机构（包括五角大楼和情报机构等）所使用的软件中的漏洞。这件事发生之后，政府即起草了该法案。 法案的最终版本上周通过众议院批准后又于周三以 87-10 的投票获得参议院的通过。特朗普签字后这项支出法案即可生效。一旦生效，这项法律将强制美国和国外的科技公司向五角大楼披露相关信息，即他们是否允许网络对手（如俄罗斯等）调查出售给美国军方的软件。 公司将被要求解决国外源代码审查所带来的任何安全风险，直至五角大楼满意，否则将失去合同。 安全专家表示允许俄罗斯当局调查软件的内部运作情况，即源代码，可以帮助莫斯科方面发现他们可以加以利用来攻击美国政府系统的漏洞。 新的法规由新罕布什尔州民主党参议院珍妮·沙辛（Jeanne Shaheen）起草。“这一强制披露只是个开头，也是减少联邦并购过程中的关键安全漏洞的必要一步，”沙辛在邮件中写道。“国防部和其他联邦机构必须了解国外源代码的风险暴露以及其他可能使我们国家安全系统易受攻击的风险性商业行为。” 该立法还创建了一个可允许其他政府机构进行搜索的数据库，其中罗列了受其它国家检查且五角大楼认为存在网络安全风险的软件。 法律规定公开记录请求可以搜索该数据库，对一个可能涵盖公司机密的系统来说这个做法很不寻常。 行业组织软件联盟的政策高级主管汤米·罗斯（Tommy Ross）称，软件公司十分担心这样的立法可能迫使公司在美国和国外市场之间做出选择。他说，“我们观察这样一个全球担忧趋势，关注网络威胁的公司普遍认为减少风险的最佳操作就是减少海外市场。” 一名五角大楼女发言人拒绝予以置评。 路透社去年的调查发现，为了进入俄罗斯市场，包括惠普、SAP 和迈克菲在内的科技公司都允许俄罗斯国防机构搜索软件源代码查找漏洞。而在大多数情况下，这些软件公司并未通知美国机构相关事项。另外，在多数情况下，采购专家表示，美国军方在采购软件之前并不要求类似的源代码审查。 迈克菲去年宣布公司不再允许政府审核源代码。惠普也表示目前没有软件需要走这一流程。SAP 未对该立法作出评论回应。惠普和迈克菲拒绝进一步评论。       稿源：，稿件以及封面源自网络；

据外媒报道，最近曝出的一个加密错误（Crypto Bug），对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确的说法是，配对设备不能充分验证用在 Diffie-Hellman 密钥交换期间，生成公钥的椭圆曲线参数。 该 bug 导致了弱配对，使得远程攻击者有机会获得设备使用的加密密钥，并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。 以色列理工学院的科学家 Lior Neumann 和 Eli Biham 发现了该漏洞： 其追溯编号为 CVE-2018-5383，可知蓝牙标准的‘安全简单配对’过程和低功耗蓝牙（Bluetooth LE）的‘安全连接’配对过程都受到了影响。 计算机应急响应小组（CERT / CC）昨晚发布了一份安全通报，其中包含了针对该漏洞的如下说明： 蓝牙利用基于椭圆曲线 Diffie-Hellman（ECDH）的密钥交换配对机制，实现设备之间的加密通信。ECDH 的密钥对，由私钥和公钥组成。且需交换公钥，以产生共享配对密钥。 此外，设备还必须统一所使用的椭圆曲线参数。然而之前涉及‘无效曲线攻击’的工作表明，ECDH 参数在用于计算结果和共享密钥之前，并不总会经过验证。 这样可以减少攻击者获取受攻击设备私钥的工作量 —— 如果在计算被分享的密钥前，并未部署验证所有参数的话。 在某些实施方法中，椭圆曲线参数并非全部由加密算法实现验证。 这使得无线范围内的远程攻击者们，可以通过注入无效的公钥，从而高概率地确定会话密钥。然后这些攻击者可以被动地拦截和解密所有设备信息，或者伪造和注入恶意消息。 苹果、博通、英特尔和高通公司，已经确认蓝牙实施和操作系统驱动程序层面都受到了影响。 万幸的是，前三家公司已经发布了针对该漏洞的修补程序。至于高通，该公司发言人在一封致 Bleeping Computer 的电子邮件中称，他们也已经部署了修复程序。 CERT / CC 专家尚未确定 Android / Google 设备、或者 Linux 内核是否也受到了影响。不过微软表示，自家设备并未受到本次 Crypto Bug 的影响。 负责监督蓝牙标准发展的 SIG 也发表了一份声明： 为了使攻击成功，攻击设备需要处于两个易受攻击的蓝牙设备的无线范围内。如果只有一方设备存在漏洞，则攻击不会得逞。 此外攻击设备需要通过阻止每一次的传输、向发送设备确认，然后在窄时间窗口内将恶意数据包注入接收设备，才能拦截公钥交换。 SIG 表示，该组织已经更新了官方的蓝牙规范，要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数，即便当前暂无野外攻击的报道。 至于 CVE-2018-5383 的补丁，将通过操作系统或驱动程序的更新（面向台式机、笔记本电脑、智能手机），或者通过固件来实现（面向物联网 / 智能设备）。   稿源：cnBeta，封面源自网络；

Chipzilla近期公布了英特尔管理引擎（Intel ME）的更多安全更新。根据发布的多个公告，共计修复了四个漏洞。Positive Technologies详细介绍了这些BUG，其中编号为CVE-2018-3628的“HTTP handler的缓冲区溢出”问题最为严重。 身处相同网络子网上的攻击者可以在Active Management Technology (AMT）环境中执行任意代码，不需要管理员权限就能访问AMT账号。这使得恶意攻击者能够完全远程控制计算机。 CVE-2018-3629是另一个缓冲区溢出漏洞，CVE-2018-3632是一个内存损坏错误，只有管理员权限的本地攻击者才能利用。CVE-2018-3627同样需要管理员权限，这是Intel Converged Security Management Engine 11.x中存在的逻辑错误，可以运行任意恶意代码。   稿源：cnBeta，封面源自网络；